Cisco VLAN ACL配置及详解Word文档下载推荐.docx

1、对于路由器接口而言，ACL是有两个方向：注意：如果发现没有匹配的ACL规则，默认会丢弃该数据包，思科ACL规则默认会有一条隐藏的deny any any规则，而华三ACL规则默认是permit any any规则。入站-如果是入站访问列表，则当路由器接收到数据包时，Cisco IOS 软件将检查访问列表中的条件语句，看是否有匹配。如果数据包被允许，则软件将继续处理该数据包。如果数据包被拒绝，则软件会丢弃该数据包。出站-如果是出站访问列表，则当软件到接收数据包并将群其路由至出站接口后，软件将检查访问列表中的条件语句，看是否有匹配。如果数据包被允许，则软件会发送该数据包。4.ACL两种类型：标注：

2、允许在标准ACL和扩展ACL中使用名称代替访问控制列表号。4.1 标准的ACL根据数据包的源IP地址来控制允许转发或拒绝数据包，访问控制列表号199。标准访问控制列表配置命令如下：Router（config）#access-list access-list-number permit|deny source souce-wildcard或者Router（config）#ip access-list standard access-list-numberRouter（config-std-nacl）#Sequence Numberpermit|deny source souce-wildcard

3、下面是命令参数的详细说明access-list-number：访问控制列表号，标准ACL取值是1-99，可以使用名称替代列表号。Sequence Number：每条ACL规则列表序列号，可使用范围1-2147483647。permit | deny：如果满足规则，则允许/拒绝通过。source：数据包的源地址，可以是主机地址，也可以是网络地址4.2 扩展的ACL根据数据包的源IP地址、目的IP地址、指定协议，端口、标志和时间来控制允许转发或拒绝数据包，访问控制列表号100199扩展访问控制列表配置命令如下：Router（config）#access-list access-list-numbe

4、r permit|deny protocol source souce-wildcard destination destination-wildcard operator operanRouter（config）#ip access-list extended access-list-numberRouter（config-std-nacl）#permit|deny protocol source souce-wildcard destination destination-wildcard operator operan访问控制列表号，扩展ACL取值100-199，可以使用名称替代列表号。

5、permit|deny：protocol：用来指定协议的类型，如IP，TCP，UDP，ICMP等。source、destination：源和目的，分别用来标示源地址和目的地址。souce-wildcard、destination-wildcard：子网反码，souce-wildcard是源反码，destination-wildcard是目标反码。operator operan：lt（小于）、gt（大于）、eq（等于）、neq（不等于）、rand（范围端口号）等。5. ACL应用分类：Port ACL基于MAC的ACLACL应用在二层接口上，但二层接口只支持in方向，一个接口只能使用一条ACL规

6、则，IP或MAC的ACL都可以应用到二层接口，但不能应用到端口聚合（EtherChannel）VLAN ACL基于VLAN的ACL使用VLAN与VLAN之间的ACL，相同的VLAN也是可以过滤，只要流量进入或离开指定的VLAN都会被过滤，可以同时控制二层与三层流量。VLAN ACL只是VLAN调用了ACL规则，in或out的VLAN流量都会被检测，无论是通过二层转发还是三层转发。VLAN ACL是不能定义方向的，虽然VLNA调用ACL规则会有in或out选项，但只针对VLAN源地址和目标地址而言。VLAN调用ACL是不能实现vlan 10 ping不通vlan 20，但vlan 20 ping

7、通vlan10类似的功能，除非交换机支持自反ACL规则。Router ACL基于 IP 的ACLACL应用到三层接上，但只能是IP ACL，不能是MAC ACL，Router ACL是in和out方向都可以使用，每个接口每个方向只能使用一条ACL规则。Time ACL基于时间的ACLTime ACL是在原来的ACL规则上增加的功能，可以应用于二层或三层，在原来的ACL规则和时间相结合使用，控制起来将更加灵活多变。6.实例（VLAN ACL）配置VLAN ACL需要注意以下问题：1、VLAN ACL不能具体定义入站和出站规则，VLANACL的in和out是针对VLAN的本身而言，ACL源地址与应

8、用的VLAN相同网段时，就使用in方向，如果ACL目标地址与应用的VLAN相同网段时，就使用out方向。2、当数据包匹配思科ACL规则发现没有匹配的规则，则会匹配思科ACL默认一条隐藏的deny any any规则，默认丢弃该数据包。3、如果你删除access-list-number访问控制列表号，则access-list-number里的所有会被清除，建议进入每条access-list-number后在根据需求删除相应的序列号。4、ACL规则是按从上到下进行匹配，如果先匹配了后面就不会再进行匹配。7.设计思路：1、 一台核心思科3560交换机，三台汇聚思科2960交换机2、 3560交换机配

9、置VTP、VLAN、trunk3、 VLAN 30服务器192.168.30.30开启www服务，服务器192.168.30.31开启ftp8.实验拓扑图：10.配置（1）核心交换机3560SW#配置VTP服务器3650SWenable3650SW#vlan database3650SW（vlan）#vtp domain CCTV3650SW（vlan）#vtp server#创建VLAN3650SW（vlan）#vlan 10 name VLAN103650SW（vlan）#vlan 20 name VLAN203650SW（vlan）#vlan 30 name VLAN303650SW（v

10、lan）#exit#配置VLAN IP地址3650SW#configure terminal3650SW（config）#interface vlan 103650SW（config-if）#ip address 192.168.10.1 255.255.255.03650SW（config-if）#exit3650SW（config）#interface vlan 203650SW（config-if）#ip address 192.168.20.1 255.255.255.03650SW（config）#interface vlan 303650SW（config-if）#ip addre

11、ss 192.168.30.1 255.255.255.0#开启三层交换机默认路由3560SW（config）#ip routing#设置端口汇聚（trunk）3650SW（config）#interface range fastEthernet 0/22-243650SW（config-if-range）#3650SWport trunk encapsulation dot1q3650SW（config-if-range）#3650SWport mode trunk3650SW（config-if-range）#no shutdown3650SW（config-if-range）#exit（

12、2）2960交换机SW01#配置VTP客户端SW01#vlan databaseSW01（vlan）#vtp domain CCTVSW01（vlan）#vtp clientSW01（vlan）#exit#设置端口汇聚（trunk）SW01#configure terminalSW01（config）#interface fastEthernet 0/24SW01（config-if）#switchport mode trunkSW01（config-if）#no shutdownSW01（config-if）#exit#分配VLAN所属端口SW01（config）#interface ran

13、ge fastEthernet 0/1-5SW01（config-if-range）#switchport access vlan 10SW01（config-if-range）#switchport mode accessSW01（config-if-range）#no shutdownSW01（config-if-range）#exit（3）2960交换机SW02SW01（config-if-range）#switchport access vlan 20（4）2960交换机SW03SW01（config-if-range）#switchport access vlan 30重要操作*核心

14、交换机3560SW配置ACL规则*黑名单和白名单1、默认设置黑名单，再设置白名单。（如果ACL规则限制多推荐使用）2、默认设置白名单，再设置黑名单。（如果ACL规则限制少推荐使用）#查看ACL规则的相关命令3650W#show ip access-lists3650W#show ip access-lists 1023650W#show running-config#删除ACL规则的相关命令3650W（config）#ip access-list extended 1013650W（config-ext-nacl）#no 20*操作实验1：默认设置黑名单，再设置白名单*同网段的主机无法限制，扩

15、展ACL是按顺序执行#创建三条扩展ACL分别是禁止所有访问3650W#configure terminal3650W（config-ext-nacl）#1000 deny ip any any3650W（config）#ip access-list extended 1023650W（config）#ip access-list extended 103#创建的扩展ACL分别应用到不同的VLAN3650W（config）#interface vlan 103650W（config-if）#ip access-group 101 in3650W（config）#interface vlan 30

16、3650W（config-if）#ip access-group 103 in3650W（config）#interface vlan 203650W（config-if）#ip access-group 102 in1、配置192.168.10.10主机只允许与192.168.30.30主机相互访问3650W（config-ext-nacl）#10 permit ip host 192.168.10.10 host 192.168.30.303650W（config-ext-nacl）#10 permit ip host 192.168.30.30 host 192.168.10.102、配

17、置vlan 10与vlan 30所有主机相互访问3650W（config-ext-nacl）#20 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.2553650W（config-ext-nacl）#20 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.2553、配置vlan 10 所有主机只允许与 vlan 30的192.168.30.30主机相互访问3650W（config-ext-nacl）#30 permit ip 192.168.10.0 0.0.0.255 host 19

18、2.168.30.303650W（config-ext-nacl）#30 permit ip host 192.168.30.30 192.168.10.0 0.0.0.2554、配置192.168.30.30主机80端口只允许vlan 10的所有主机访问（不能反向访问192.168.10.10的80和21端口）3650W（config-ext-nacl）#40 permit tcp 192.168.10.0 0.0.0.255 host 192.168.30.30 eq www3650W（config-ext-nacl）#40 permit tcp host 192.168.30.30 19

19、2.168.10.0 0.0.0.2555、配置192.168.30.30 主机 80/21端口只允许192.168.10.10主机访问（不能反向访问192.168.10.10的80和21端口）3650W（config-ext-nacl）#50 permit tcp host 192.168.10.10 host 192.168.30.30 range 80 213650W（config-ext-nacl）#50 permit tcp host 192.168.30.30 host 192.168.10.10*操作实验2：默认设置白名单，再设置黑名单*#创建一条扩展ACL分别是允许所有访问36

20、50W（config-ext-nacl）#1000 permit ip any any3650W（config-if）#ip access-group 103 out1、禁止vlan 10 vlan 20所有主机不能访问192.168.30.30主机的80端口，但允许192.168.30.30.主机去访问任何主机的80端口3650W（config-ext-nacl）#10 deny tcp any host 192.168.30.30 eq www2、禁止192.168.30.30.主机去访问vlan 10和vlan 20任何主机的80端口3650W（config-ext-nacl）#20 deny tcp host 192.168.30.30 any eq www